Hochriskante Sicherheitslücken in Qt "nur ein Bug"
IT-Sicherheitsforscher von Cisco Thalos haben hochriskante Sicherheitslücken in Qt-QML gefunden. Qt sieht App-Entwickler am Zuge und stuft sie nur als Bug ein.
(Bild: Andrey Suslov/Shutterstock.com)
IT-Sicherheitsforscher von Cisco Thalos haben in Qt, genauer in Qt-QML, hochriskante Sicherheitslücken aufgespürt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Qt-Entwickler schätzen die Lücke nicht als Sicherheitsproblem, sondern lediglich als Bug ein.
Qt ermöglicht plattformübergreifende Anwendungs-Entwicklung. Qt-QML ist eine Markup-Programmiersprache, die das Entwickeln von Oberflächen mit an JSON angelehnten Strukturen ermöglicht. Sie wird mit GUI-Designwerkzeugen genutzt und kommt beispielsweise in KDE zum Einsatz.
Qt: Sicherheitslücken in Qt-QML
Bei der ersten der beiden Schwachstellen in Qt-QML kann Javascript-Code einen Integer-Überlauf bei Speicher-Allokierung und in der Folge das Ausführen von untergeschobenen Code auslösen. Die Qt-Anwendung müsste dazu etwa auf eine bösartige Webseite zugreifen (CVE-2022-40983, CVSS 8.8, Risiko "hoch"). Die zweite Sicherheitslücke löst unter ähnlichen Voraussetzungen einen Speicherzugriff außerhalb der Grenzen aus, der ebenfalls zum Ausführen von untergeschobenen Schadecode missbraucht werden kann (CVE-2022-43591, CVSS 8.8, hoch).
Die erste Schwachstelle haben die IT-Forscher in Qt 6.3.2 bestätigt, die zweite zudem in Qt 6.4.
Sicherheitslücken oder nur ein Bug?
In einem Blog-Beitrag auf der Cisco-Thalos-Webseite erläutern die IT-Analysten, dass die Qt-Entwickler auf die Meldung der Lücke mit folgender Stellungnahme reagierten: "Wir haben Ihren Bericht analysiert und sind zu dem Schluss gekommen, dass es sich nicht um ein Sicherheitsproblem handelt, auch, wenn es sich um einen echten Bug handelt. Die QML- und JavaScript-Unterstützung von Qt ist ausdrücklich nicht für nicht vertrauenswürdige Inhalte ausgelegt ..." Jede Anwendung, die nicht vertrauenswürdige Eingaben an QtQml weitergebe, müsse stattdessen ein Sicherheits-Advisory veröffentlichen und künftig eingehende Daten gründlich überprüfen und filtern.
Cisco-Thalos sieht die Fehler weiterhin als Sicherheitslücken und empfiehlt, die Qt-Version 6.3.2 so schnell wie möglich zu aktualisieren. Derzeit ist jedoch unklar, ob neuere Qt-Versionen die Fehler bereits korrigieren. Im Changelog zu Qt 6.4.2 findet sich beispielsweise kein Hinweis auf Änderungen in Qt-QML, ebensowenig in denen zu Qt 6.4.1. Qt 6.4 gehört zumindest bei einer der Lücken zu den verwundbaren Versionen. Vorerst scheint es daher tatsächlich an Qt-App-Entwicklern zu hängen, Aktualisierungen vorzunehmen und Eingaben vor der Verarbeitung mit Qt zu filtern.
Themenseite zu Qt auf heise online
Qt-QML-Kurzerklärung nachgebessert.
(dmk)